天阗XDR在手,看防守方如何智擒红队
发布时间 2024-05-17由于入侵者不断变换攻击资源和手段,通过加密混淆Webshell、利用0day/1day漏洞等高级技术,使防守方在海量的告警信息中难以迅速找到准确的攻击线索。
在攻击事件还原的过程中,安全人员还要不断地切换各种安全设备,并结合大量的人工分析来还原攻击事件,整个过程既耗时又费力,攻防双方的力量对比严重失衡。
安讯天阗XDR,将为这一困境带来转机。凭借强大的关联分析、智能降噪和联动处置能力,天阗XDR可帮助安全人员迅速从繁杂的告警中筛选出真实的攻击线索,精准定位攻击源,并还原整个攻击过程。这种高效的防御模式将攻击事件的响应时间从传统的天级提升至了分钟级,极大地提升了防守方的应对能力和反应速度。
下面,让我们通过一个场景案例复现安全人员如何巧用XDR智擒红队。
2024年4月下旬,某重要单位组织的攻防演练中,安全人员利用安讯天阗XDR发现内网服务器Webshell高级别告警,通过使用XDR自动关联取证、智能攻击链还原、快速联动处置等功能,迅速找到了漏洞利用点,溯源到了客户系统的失陷账号,并联动EDR对主机上的Webshell进行了清除,短短十几分钟就完成了整个攻击过程的处置。
事件溯源过程
1、Webshell上传成功
4月23日 15:35
XDR上报了一条Webshell上传告警,并且自动通过网端联动取证判断为“上传成功”,同时显示了EDR返回的终端取证信息。
从提示信息看出,攻击者利用客户自研系统的后台上传功能成功上传了Webshell。
2、Webshell连接成功
4月23日 15:36
XDR再次告警Webshell连接。
XDR通过关联分析,发现攻击者所连接的Webshell与之前攻击者上传的Webshell一致,表明攻击已处正在利用阶段,XDR也将两条告警进行了智能合并。
3、攻击入口溯源
紧接着XDR自动提取了判断为确定攻击的文件上传漏洞的cookie信息,并下发到全流量存储系统(NFT)进行自动化狩猎,成功溯源到攻击者于14:48分利用失陷账号“jinyuqiang”的登陆成功事件。
至此,通过安讯天阗XDR,整个攻击事件的前后告警已被完整串联起来,并以清晰的故事线形式展示在安全人员眼前。整个攻击事件的关键路径一目了然。
4、攻击事件处置
① 通过XDR联动EDR对恶意Webshell进行了隔离处置。
② 在客户允许条件下,对XDR发现的文件上传漏洞点进行了临时的URL封禁,对攻击IP进行了一键封禁处置。
③ 客户对发起恶意攻击的账户jinyuqiang进行了停用处理。研发对自研系统中的文件上传漏洞进行了代码修复,系统更新以后重新上线。
天阗XDR在手,助防守方扭转攻防不对等局面。天阗XDR具备自动告警降噪能力,快速发现真正攻击;高阶智能驾驶自动还原攻击路径和攻击历史,来龙去脉一目了然;网侧和端侧双重响应能力,斩断攻击方横向扩散企图。从监测发现到响应闭环,再到形成溯源报告,分钟级完成整个防守流程。